【セキュリティ事件簿#2023-325】日本ゼオン株式会社 不正アクセス発生による個人情報流出可能性のお知らせとお詫び 2023年8月23日

この度、当社サーバー機器に対して、外部の攻撃者による不正アクセスが発生し、当社が管理している個人情報の一部が外部へ流出した可能性があることが判明いたしました。現時点において、個人情報の不正利用などの事実は確認されておりませんが、関係者の皆さまに多大なご迷惑、ご心配をお掛けすることになり、誠に申し訳ございません。心よりお詫び申し上げます。

【本件の概要】

2023 年 8 月 16 日、当社および当社グループ会社が利用しているサーバー機器に対する外部からの攻撃を検知しました。このため、当社は直ちにサーバー機器の保守ベンダーと連絡を取り、ネットワークからの切り離しなど必要な対策を同日中に実施しました。

その後のセキュリティ専門ベンダーとの調査にて、当社アカウント管理システム（ディレクトリサーバー）への不正アクセスの形跡が確認され、個人情報の一部が外部へ流出した可能性があることが判明いたしました。なお、当システム以外のサーバーに対する不正アクセスによる情報流出は現時点で確認されておりません。今後、新たにご報告すべき事象が判明した場合は、ホームページ上でお知らせいたします。

【外部に流出した可能性がある個人情報の内容】 （下記（1）～（2）の合計 13,434 件）

（１）当社が管理しているグループアドレスに登録されているお客様・取引先様の情報（8,236 件）

・お客様・取引先様ドメインのメールアドレスおよび氏名

※当社アカウント管理システム（ディレクトリサーバー）にはお客様・取引先様ドメインのメールアドレスおよび氏名のみが登録されておりますので、それ以外の情報が外部流出した可能性はありません。

（２）当社および当社グループ会社の社員および協力会社社員などのアカウント情報（5,198 件）

・当社および当社グループ各社が発行したユーザーID

・当社および当社グループ各社が発行したメールアドレス

・名前（漢字）

・名前（ローマ字）

・会社名

・部署名

・組織コード

・社員番号

・電話番号

これらの個人情報を悪用し、スパムメール、フィッシング詐欺メール等が送付される可能性があります。不審なメールやコンタクトを受け取られた場合、慎重にご対応くださいますようお願いいたします。

【当社の対応】

（1）当社ホームページでの公表

2023 年 8 月 23 日に本件を当社ホームページの「お知らせ」ページにて公表いたしました。

（2）行政機関への報告

2023 年 8 月 22 日に個人情報保護委員会に報告いたしました。

当社では今回の事態を重く受け止め、外部専門機関の協力も得て原因究明を進めるとともに、今まで以上に厳重な情報セキュリティ体制の構築と強化徹底を図り、再発防止に取り組んでまいります。

この度は、お客様ならびに関係先の皆様へ多大なご迷惑とご心配をおかけいたしますこと、重ねて深くお詫び申し上げます。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-324】ホテル京阪 淀屋橋 不正アクセスについてのお詫びとお知らせ 2023年8月10日

今般、ホテル京阪 淀屋橋におきまして、利用するBooking.com社（本社：オランダ、アムステルダム）の宿泊予約情報管理システムが不正アクセスを受け、同社経由で当ホテルをご予約いただきました一部のお客さまに対し、フィッシングサイト（不正な手法を用いて個人情報や経済的価値のある情報を搾取する偽のＷＥＢサイト）へ誘導するメッセージが配信されたことを確認いたしました。

現在のところ、お客さまの個人情報の流出については確認が取れておらず、詳細につきましても調査中でございますが、お客さまには多大なるご迷惑とご心配をおかけしておりますこと、深くお詫びを申し上げます。

また、お客さまにおかれましては、そのようなメッセージを受信された場合、貼付されたＵＲＬリンクへアクセスされませんよう、お願い申し上げます。

不正アクセスの原因等につきましては、当社および関係機関において現在も調査中でございます。引き続き原因調査を進め、必要な対策を講じることで再発防止に万全を期してまいります。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-323】上條器械店 当社サーバへの不正アクセスに関するご報告とお詫び 2023年8月18日

日頃、ご愛顧賜りまして誠にありがとうございます。

2023年6月19日にご報告いたしましたとおり、このたび、当社において業務上使用するサーバに対して、第三者による不正アクセス攻撃を受けました（以下「本件」といいます。）。

お客様をはじめ関係者の皆様には深くお詫びを申し上げますとともに、今般、第三者調査機関による調査が完了いたしましたので、本件の概要等につきまして、下記のとおりご報告いたします。

なお、既に当社サーバは復旧しており、現時点では業務への影響はございませんことを併せてご報告させていただきます。

2023年6月19日の発表については、こちらをご確認ください。

1．本件の概要等

2023年6月14日、業務システムへのアクセス障害が確認されたため、調査を行った結果、一部の業務システムの起動ファイルが暗号化されており、ランサムウェアに感染した可能性を確認しました。当該サーバをネットワークから隔離するなどの被害拡大防止策を講じた上で、速やかに第三者調査機関に調査を依頼しました。その後、2023年6月29日、第三者調査機関による調査が完了し、その結果、本件について、 2023年6月12日午前2時頃に当社ネットワークへの不正アクセスが行われたのち、同月14日午前3時頃より、サーバに記録されていたデータがランサムウェアにより暗号化され、使用できない状況となったことを確認いたしました。

第三者調査機関からは、個人データを外部に送信したことを示す明確な痕跡は見つかっていないものの、当社が保有していた一部のお客様の個人データの漏えいの可能性は否定できない旨の報告を受けております。

なお、当社は本件につきまして、個人情報保護委員会に報告済みでございます。また、警察にも被害申告しており、今後捜査にも全面的に協力してまいります。

2．関係者の皆様へのお詫びと本件に関するお問い合わせ窓口

お客様をはじめ、関係者の皆様には多大なご迷惑およびご心配をおかけする事態となりましたことを、深くお詫び申し上げます。

個人データが暗号化され、かつ漏えいした可能性が否定できないお客様には、お詫びとお知らせ（暗号化され、かつ漏えいの可能性が否定できないデータ項目 を記載したもの）を個別に順次ご連絡申し上げます。

また、本件に関するお問い合わせにつきましては、専用の問い合わせ窓口を設置しております。ご質問やご心配なことがございましたら、以下のお問い合わせ窓口までご連絡いただきますようお願い申し上げます。

当社では、これまでもサーバ・コンピュータへの不正アクセスを防止するための措置を講じるとともに情報の適切な管理に努めてまいりましたが、このたびの事態を厳粛に受け止め、外部の専門家と検討の上、既に種々の再発防止策を整備しており、今後も随時改善を図る予定でございます。

リリース文（アーカイブ）

大規模言語モデルアプリケーションのためのOWASP TOP 10リリース

OWASP (Open Web Applications Security Project)は、アプリケーション・セキュリティのリスク、脆弱性、影響、緩和策につい て、長年にわたって取り組んできたコミュニティ・プロジェクトです。もともとはウェブ・アプリケーションでしたが、あらゆる技術やプラットフォームが統合されるにつれて、APIの世界、モバイル・アプリの世界、あるいは、今日のトピックのように、ChatGPTの登場によって今日流行しているLLM（大規模言語モデル）をベースとしたアプリケーションへとその活動を広げてきました。 OWASP TOP 10 for Large Language Model Applications v_0.1 LLMのような人工知能モデルに基づくアプリケーションで最も悪用される10の脆弱性です。これは一見の価値があります。 OWASP Top 10 List for LLMs version 0.1 LLM01:2023 - Prompt Injections その1は、もちろん、プロンプト・インジェクションのテクニックで、モデル・ビルダーが望まない反応をさせるために、モデルに課された制限を迂回し、望まないアクションを生成させたり、プライベートなデータを漏えいさせたりすることに重点を置いています。その例として、私がChatGPTにアメリカ合衆国大統領を殺すアイデアを求めていたとき、彼はそれを私に与えようとはしませんでした...最初は。 Si le presionas un poco... te da todas sus ideas para matar a POTUS 結局のところ、LLMにはリレーショナルデータベースに例えられる知識データベースが含まれています。このデータにはアクセス制限がありますが、プロンプト・インジェクションのテクニックはこれらの制限をバイパスし、LLMの知識データベースのアクセスすべきでない部分にアクセスします。プロンプト・インジェクションは、私たちが愛するSQLインジェクションのテクニックに相当しますが、LLMの世界でのテクニックです。 LLM02:2023 - Data Leakage 意図しないデータ漏洩。LLMは訓練され、知らず知らずのうちに機密情報、専有データ、あるいは漏らしてはいけない情報を漏らしています。これは、元のデータセットで使用された機密性の高いデータを推論して再構築することで、LLMがどの程度漏れるかを測定した学術論文の記事を書いた際に話したことだ。 Proceso de reconstrucción e inferencia de PII en LLMs LLM03:2023 - Inadequate Sandboxing LLM は外部リソース、サードパーティのデータソース、インターネット、あるいは保護された API への呼び出しに接続されるかもしれません。外部リソースへの接続へのアクセスがうまく区分けされていない場合、誰かが LLM に、あるいは LLM を通して望まないアクションを実行させることが可能です。例えば、攻撃者はどのプロンプトがリソースへの訪問やAPIやサービスコールの消費を操作するインターネット検索を生成するかを知ることができ、それを利用して自分に有利になるようにすることができます。 OWASP Top 10 List for LLMs version 0.1 LLM04:2023 - Unauthorized Code Execution 前のケースと似ていますが、この場合LLMはAPIやシェルコマンドコールなど、コマンドを実行できるシステムに接続されています。例えば、システムコールを使ってリソースを検索する LLM があり、攻撃者はプロンプトを使ってその LLM をだまし、システム上で悪意のあるアクションを実行する不要なコマンドを実行させることができます。ファイル->fake.doc "を探すようにLLMに指示することもできます。 LLM05:2023 - SSRF Vulnerabilities もちろん、APIコールを実行できるのであれば、LLMバックエンドからDMZバックエンドへのSQLインジェクションは可能です。あるいはポートやサービスのスキャン、あるいは LLM を使って接続文字列パラメータのポリューションを実行することもできます。もしLLMが最終的にネットワーク上のAPI経由でHTTP呼び出しに接続されるなら、プロンプトを操作してこのような攻撃を行うことができます。 LLM06:2023 - Overreliance on LLM-generated Content この欠陥は、部分的な、不正確な、あるいは不正確なデータで訓練されたLLMが持つ意味、そしてこの脆弱性を持つLLMをベースとしたビジネスアプリケーションに依存している組織に与える影響を物語っています。その影響は、修正するはずだったパラメータに大きな影響を与える可能性があります。 LLM07:2023 - Inadequate AI Alignment この場合、私たちはLLMモデルが、解決しようとしている問題とまったく一致していないデータでトレーニングされたものを扱っています。言い換えれば、LLMに期待されている作業範囲を解決することができないデータで学習されたモデルです。 OWASP Top 10 List for LLMs version 0.1 LLM08:2023 - Insufficient Access Controls LLMが知識データベースであることを理解するならば、これらのLLMへのアクセス制御の管理は強化されなければならないことを理解しなければなりません。システム内のどのユーザーがどのLLMにアクセスできるかを知ることは、アプリケーション全体のセキュリティの重要な一部となります。強固なアクセス制御を保証するために、セキュリティ・メカニズムを適切に管理することが鍵となります。 LLM09:2023 - Improper Error Handling ウェブ・テクノロジーのハッキングの世界から来た人なら、これは心得ていることでしょう。私は長年、エラーメッセージに現れる情報について書いてきましたが、それはシステムからデータを抽出するために使うことができます。探していたファイルやサーバーの名前を教えてくれたウェブページから、探していたデータを教えてくれたODBCデータベースのエラーまで。同じように、LLMが管理するシステムからのエラーもあります。 外部リソースにアクセスし、プロンプトを操作してエラーを含むコマンドを生成し、そのエラーメッセージがLLMのレスポンスに届くことを想像してください。 LLM10:2023 - Training Data Poisoning そして最後のものは、AIの世界からのものです。それは、LLMがどのようなデータで訓練されているかを知り、偽の、誤った、あるいは意図的な情報でそれを操作することです。LLMが再訓練されると、それに依存するシステムは、訓練データの汚染された操作に基づいて攻撃者によって操作された結果を得ることになります。 さらに多くのことが起こるでしょう LLMハッキングは、ペンテストや監査、レッドチームチームの世界では大変な作業になる分野だからです。しかし、その反対もあります。フォレンジック分析、デバッグ、ブルーチームにおける要塞化、構築プロセスの監査。エキサイティングなことが目白押しです。

出典：OWASP TOP 10 for Large Language Model Applications v_0.1

【セキュリティ事件簿#2023-322】帝京平成大学 キャリアカウンセリングにおける個人情報の不適切な取り扱いに関わるお詫びならびにご報告 2023年8月18日

去る2023年8月7日にホームページにて公表のとおり、本学がキャリアカウンセリングを委託する株式会社東京海上日動キャリアサービス（以下、「TCS」）において個人情報管理における不適切な取り扱いが発覚し、調査と対応を進めております。

皆様に多大なご心配、ご迷惑をおかけしておりますことを心からお詫び申し上げます。今回のような事態を招いた事実を厳粛に受け止め、再発防止に全力で取り組んで参ります。

本件に関わる事実関係等につきまして、以下の通りご報告いたします。

1．本件に関わる事実関係

本学千葉キャンパス就職支援室にて学生のキャリアカウンセリングを実施するTCSのキャリアカウンセラー1名が、キャリアカウンセリング面談時の手書きメモの一部を自宅へ持ち帰り、手書きメモの裏面を再利用して自宅外に持ち出したものを飲食店に遺失しました。これを拾得された第三者から、2023年8月3日に本学へご連絡を頂いたことにより判明したものです。

このことを受け、本学およびTCSにて、実際に外部流出した手書きメモおよび流出の可能性のある手書きメモを特定し、漏えいを確認された方、漏えいした可能性のある方への書面でのご連絡を2023年8月17日より順次行っております。 

なお本学、TCSそれぞれで本件につき個人情報保護委員会へ報告をしております。

2．調査結果の概要

本学千葉キャンパスにおいて、当該キャリアカウンセラーによるキャリアカウンセリングは、2018年4月19日から2023年7月20日までの期間行われ、面談者の一部の手書きメモが外部に持ち出されたこと、もしくは持ち出された可能性があることが確認されました。なお、当該キャリアカウンセラーによるキャリアカウンセリングは、2023年7月20日をもって終了しております。

（1）個人情報の概要（注1）

• 氏名（の一部）、学籍番号（の一部）、携帯電話番号等の情報
• キャリアカウンセリング面談日、志望先、採用面接の状況、応募シートの添削内容等のキャリアカウンセリングに関わる情報

（2）対象者数

• 外部に持ち出され、実際に第三者が取得したことが確認されたもの：12名
• 2023年8月17日までの時点で本学において手書きメモの現物が確認できないもの：807名（注２）

（注１）面談によって記載のなかった情報もあります。

（注２）これには手書きメモをとっていない面談も含まれます。

現時点では、第三者に取得された情報を悪用等された事実は、本学およびTCSでは確認されておりません。改めまして、ご自分の就職のご相談にいらして頂いた学生・卒業生の皆様、ご家族の皆様、本拾得物をご提供頂いた方、ならびに本件により図らずもご迷惑を被られた方々に心よりお詫び申し上げます。

3．今後の対応

実際に面談記録が外部流出し漏えいの確認された方、漏えいの可能性のある方へ、本件の事実経緯、ご本人の漏えいもしくは漏えい可能性のある個人情報の内容、万一、ご不安やご不明な点がある場合のお問い合わせ窓口の連絡先について、書面でのご連絡を2023年8月17日より順次行っております。

4．再発防止策

（1）全キャリアカウンセラーに対し、個人情報の研修を8月中に実施し、情報管理の重要性について改めて意識の徹底を図ります。

（2）キャリアカウンセリング面談時の手書きメモは、面談を終えたら即時システム入力し、当日中に裁断廃棄することをダブルチェックいたします。

（3）本学、TCS双方でキャリアカウンセリング業務の流れについて定期的にチェックを実施いたします。

（4）面談記録に関わる管理プロセスの見直しによる、情報のトレーサビリティを含む管理の強化や、これに関する定期的なモニタリングを実施して参ります。

本学、TCSともに、今回のような事態を招いた事実を厳粛に受け止め、再発防止に全力で取り組んで参ります。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-321】株式会社たん熊北店 弊社が運営する「たん熊北店 オンラインストア」への不正アクセスによる お客様情報漏えいに関するお詫びとお知らせ 2023年8月14日

このたび、弊社が運営する「たん熊北店　オンラインストア」（https://www.tankumakita.jp/shopping/。以下「本件サイト」といいます。）におきまして、第三者による不正アクセスを受け、お客様のクレジットカード情報等（1,123件）及び個人情報（最大6,907件）が漏えいした可能性があることが判明いたしました。

お客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。

なお、クレジットカード情報等及び個人情報が漏えいした可能性のあるお客様には、本日より、電子メールにてお詫びとお知らせを個別にご連絡申し上げております。

なお、電子メールにてお届けできなかったお客様には、書状にてご連絡させていただきます。

弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。

お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記の通りご報告いたします。

※本件に関しまして弊社と別会社である「京料理　本家たん熊」様は一切関係ございません。本件に関する一切のお問合せは末尾記載の「株式会社たん熊北店　お客様相談窓口」にお願い申し上げます。

1．経緯

2023年2月21日、決済代行会社から、本件サイトを利用したお客様のクレジットカード情報の漏えい懸念について連絡を受け、同日、本件サイトでのカード決済を停止いたしました。

また、第三者調査機関による調査も開始いたしました。2023年5月19日、調査機関による調査が完了し、2021年2月22日～2023年2月10日の期間に本件サイトで購入されたお客様のクレジットカード情報等が漏えいし、一部のお客様のクレジットカード情報が不正利用された可能性があること、また、2023年2月13日までに本件サイトにおいて会員登録又は商品の購入をされたお客様の個人情報が漏えいした可能性があることを確認いたしました。

以上の事実が確認できたため、本日の発表に至りました。

2．クレジットカード情報等及び個人情報漏えい状況

(1)原因

弊社ではクレジットカード情報を保有しておりませんでしたが、本件サイトのシステムの一部の脆弱性をついたことによる第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行われました。

(2)クレジットカード情報等漏えいの可能性があるお客様

2021年2月22日～2023年2月10日の期間中に本件サイトにてクレジットカード決済をされたお客様1,123名で、漏えいした可能性のある情報は以下のとおりです。なお、弊社の店舗及び本件サイト以外の通販サイトにおいて、弊社の商品をご購入されたお客様は対象外となります。

• カード名義人名
• クレジットカード番号
• 有効期限
• セキュリティコード
• メールアドレス（本件サイトのログインID）
• 本件サイトのログインパスワード

(3)個人情報漏えいの可能性があるお客様

①2023年2月13日までに本件サイトにて会員登録をされたお客様1,980名で、漏えいした可能性のある情報は以下のとおりです。

• 氏名
• 住所
• 電話番号
• メールアドレス
• 本件サイトのログインパスワード
• 性別（※）
• 誕生日（※）
• FAX番号（※）

（※）会員登録時に当該情報を入力されたお客様のみが対象です。

②2023年2月13日までに本件サイトにて商品の購入をされたお客様3,452名で、漏えいした可能性のある情報は以下のとおりです。

• 氏名
• 住所
• 電話番号
• メールアドレス
• お届け先情報
• 性別（※）
• 誕生日（※）
• FAX番号（※）

（※）本件サイトでの商品ご購入時に当該情報を入力されたお客様のみが対象です。

③上記②の商品購入においてお届け先として指定された商品ご購入者以外のお客様1,475名で、漏えいした可能性のある情報は以下のとおりです。

• 氏名
• 住所
• 電話番号

上記⑵⑶に該当するお客様につきましては、別途、電子メールにて個別にご連絡申し上げます。なお、電子メールがお届けできなかったお客様には、書状にてご連絡させていただきます。

3.お客様へのお願い

(1) クレジットカード不正利用のご確認のお願い

既に弊社では、クレジットカード会社と連携し、漏えいした可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております。

お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合は、たいへんお手数ですが同クレジットカードの裏面に記載のカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。

なお、上記2.⑵の対象となるお客様がクレジットカードの差替えをご希望される場合、カード再発行の手数料につきましてはお客様にご負担をお掛けしないよう、弊社よりクレジットカード会社に依頼しております。

(2) ログインパスワードの再設定及び他のサイトにおけるログインID・パスワード変更のお願い

弊社では、新システムへの移行に伴いパスワードリセットを実施しております。2023年2月12日以前に本件サイトにて会員登録をされたお客様で、まだパスワードの再設定がお済みでないお客様におかれましては、たいへんお手数ですが、新システムに移行した弊社ウェブサイト（「たん熊北店　オンラインストア」）内の「パスワードの再発行」のページ（https://www.tankumakita.jp/shopping/forgot）より、本件サイトのログインパスワードを再設定していただきますようお願い申し上げます。また、他のサイトで本件サイトと同一の値のログインID・パスワードを使用されている場合には、念のため、当該他のサイトにおいてもログインID・パスワード変更のお手続をしていただきますよう、併せてお願い申し上げます。

(3) 不審なメール及び電話への注意喚起

身に覚えのない電子メールが届いた場合には、メールを開かない、不審なリンクや添付ファイルをクリックしない等の対応をお願いいたします。不審な電話がかかってきた場合には、お客様の重要な情報等は決してお伝えにならないようお願いいたします。

4.公表が遅れた経緯について

2023年2月21日の漏えい懸念から今回の案内に至るまで、時間を要しましたことを深くお詫び申し上げます。

本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるところではございましたが、決済代行会社と協議し、不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であるとの説明を受け、発表は調査会社の調査結果、およびカード会社との連携を待ってから行うことに致しました。

今回の発表までお時間をいただきましたこと、重ねてお詫び申し上げます。

5.再発防止策ならびに弊社が運営するサイトの再開について

弊社はこのたびの事態を厳粛に受け止め、調査結果を踏まえてシステムのセキュリティ対策および監視体制の強化を行い、再発防止を図ってまいります。

不正アクセスが認められた旧システムは、既に運用を停止し、現在は新システムに移行しておりますが、新システムにおけるクレジットカード決済の再開日など今後につきましては、決定次第、改めて弊社ウェブサイト（「たん熊北店　オンラインストア」）上にてお知らせいたします。

なお、弊社は今回の不正アクセスにつきまして、監督官庁である個人情報保護委員会には2023年2月21日に報告済みであり、また、所轄警察署にも調査結果を踏まえて2023年6月2日に被害申告しており、今後捜査にも全面的に協力してまいります。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-320】株式会社HUGE 不正アクセスによる個人情報流出に関するお詫びとご報告について 2023年8月21日

2023年8月6日（日）、当社が管理運用する顧客管理システム「The HUGE CLUB（以下THCという）」に対する不正アクセスにより、一部のお客様の個人情報（氏名・電話番号・メールアドレス・生年月日・性別・予約履歴・ポイント履歴）が外部流出した可能性を否定できないことが判明いたしました。今回の情報にクレジットカード情報は含まれておりません。二次被害や更なる被害の拡大を防ぐため、所轄警察署や有識者の意見を参考にしながら、早期に謝罪及びご報告をするタイミングを見計らい、本日の公表とさせていただきました。お客様をはじめ多くの関係先の皆様に多大なご迷惑とご心配をおかけいたしますことを深くお詫び申し上げます。

1．本件の概要

① 発生

8月6日早朝、当社が管理運用するTHCサーバに障害が発生し原因を調べたところ、第三者による不正アクセスの痕跡を発見いたしました。この影響によりTHCにおいて予約ができないなどの障害が発生いたしました。当社ではさらなる拡大を防ぐため、直ちにアクセスキーの無効化を行い、8月７日に対策本部を立上げ、不正アクセスを受けたサーバの範囲と状況・原因等の調査、復旧の検討を開始いたしました。

② 調査の経緯

初期調査段階で、THCサーバへの不正な侵入と内部の一部データが削除されていることを確認いたしました。また侵入されたサーバには一部のお客様情報を保管するファイルが含まれており、その情報が削除されていることが分かりました。

お客様の個人情報が外部に持ち出された可能性につきまして、現在本件に関わる個人情報の不正利用等は確認されておりません。しかしながら流出の可能性を完全に否定することは難しく、今後も引き続き調査を継続して参ります。

２． 漏えい等が発生したおそれがある個人データの項目

① 対象

2021年6月15日から2022年9月19日の間に「The HUGE CLUB」をご登録いただいたお客様　96,938人

② 情報

氏名、電話番号、メールアドレス、生年月日、性別、予約履歴、ポイント履歴

尚、クレジットカード情報は含まれておりません。

３．原因

外部専門家の見解を含めて総合的に検証した結果、侵入経路はTHCと連携する現在開発中のECサイトからTHCサーバへのアクセス情報の一部が盗まれ、THCサーバへ侵入された可能性が高いものと考えております。

４．二次被害又はそのおそれの有無及びその内容

外部専門家への相談も含めて現在調査中です。

今後、HUGEの名前を騙った電子メールでの詐欺に注意をしていただき、アドレス末尾のドメインがhuge.co.jpであることを確認していただく、 メール記載のURLにアクセスをしない、添付ファイルは開かない等について、ご注意いただけますようお願い申し上げます。

お客様へのご対応について

本事案の対象となるお客様には、8月10日（木）にメールにてお詫びと経緯のご報告をさせていただきました。今後のご報告につきましても、準備が整い次第、順次個別にご連絡をさせていただきます。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-319】日置市 懲戒処分の公表 2023年8月4日

事案

１ 件 名 コンピュータの不適正使用

２ 処分日 令和５年８月４日（金）

３ 処分者

(1) 教育委員会 主査 （ 36歳）  

ア 概要

当該職員は、業務用パソコンから他の職員のＩＤとパスワードを推測し、 令和５年１月１日から４月 21日までの間に、 61人、延べ697回にわたり不正ログインを行い、メール等の閲覧を行った。

また、人事評価記録書等の電子データを自身の業務用パソコンに保存した。

 イ 処 分 

職 名 等	処分内容	期 間	備 考
教育委員会 主査	減給（ 1/10）	３月	８月４日付け

(2) 教育委員会 課長補佐 （ 58歳）

ア 概要

当該職員は、業務用パソコンから他の職員のＩＤとパスワードを推測し、令和５年１月１日から４月 21日までの間に、 14人、延べ 38回にわたり不正ログインを行い、メール等の閲覧を行った。

また、職員の給与明細の閲覧を行った。

イ 処分 

職 名 等	処分内容	期 間	備 考
教育委員会 課長補佐	戒告	－	８月４日付け

(3) 産業建設部 主事補 （ 23歳）

ア 概要

当該職員は、業務用パソコンから他の職員のＩＤとパスワードを推測し、令和５年１月１日から４月 21日までの間に、 37人、延べ232回にわたり不正ログインを行い、メール等の閲覧を行った。

イ 処分 

職 名 等	処分内容	期 間	備 考
産業建設部 主事補	戒告	－	８月４日付け

(4) 管理監督責任（当時含む）

 所属長を厳重注意（８月４日付け）

【市長・教育長コメント】

コンピュータの不適正使用を行い、本市行政の信頼を大きく損ねたことを市民の皆様に深くお詫び申し上げます。

今後は、職員一人ひとりがより一層のコンプライアンスの徹底を図るため、情報セキュリティ研修を実施するとともに、再発防止と市民の皆様への信頼回復に職員一丸となって取り組んでまいります。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-318】日本学術振興会が利用しているファイル転送サービス（Proself） への不正アクセスについて 2023年8月9日

平素より、本会への御理解、御協力をいただき誠にありがとうございます。

今般、独立行政法人日本学術振興会がファイル転送サービスとして利用していたサービス（Proself）について、不正アクセスが行われたことが判明しました。これは、去る 7 月20 日に発表された Proself の脆弱性を原因とするものであると考えられます。

これを受けて、サービス開発業者による調査を行った結果、Proself に保存されている情報の流出や不正アップロードが行われた痕跡は確認されていません。また、現在までのところ、今回の不正アクセスに起因すると思われる被害（二次被害を含む）は確認されていませ

ん。

なお、7 月 31 日において脆弱性が解消された Proself を新たな別サーバに再インストールし、運用を再開しております。

関係する皆様には御心配をおかけすることになり、お詫び申し上げます。日本学術振興会では、今後とも関係機関等とも連携しながら、引き続きセキュリティ対策の強化に努めてまいります。

今回の事案の経緯及び講じた措置は以下のとおりです。

 

7 月 27 日	本会利用のサービスに不正アクセスが行われた旨、サービス開発業者から報告あり。当該サービスを停止。
7 月 28 日	新サーバへのデータ移行を実施。すべての保存ファイルにウイルススキャンを開始。
7 月 29 日	すべての保存ファイルにウイルス感染がなかったことを確認。
7 月 31 日	脆弱性が解消された Proself を新たな別サーバに再インストール。運用を再開。
8 月 7 日	Proself に保存されている情報の流出や不正アップロードが行われた痕跡は確認されていないことをサービス開発業者から報告。

リリース文（プレスリリース）

【セキュリティ事件簿#2023-317】ザボディショップ 購入ポイント付与等サービスの一時停止に関するお詫びとお知らせ

平素よりザボディショップをご愛顧いただき、誠にありがとうございます。

本年7月18日以降、ランサムウェアによる不正アクセスを受けたことにより当社のシステム障害が発生しております。

これに伴い 各種サービスの提供に支障が生じております。

本事案の調査は続いておりますが、当社システムから外部にデータが流出した事実は確認されておりません。

お客様ならびに、関係各位の皆様にはご不便をおかけすることになり深くお詫び申し上げます。

・購入ポイント付与の一時停止

▷ECオンラインでご購入の場合

　当社商品をオンラインでご購入いただいた際のポイント付与サービスは通常と同様にご購入品到着後約30日で付与ポイントを反映の予定です。

▷店舗でご購入の場合

　店頭でご購入いただいた際のポイント付与サービスは現在一時的にご利用いただけない事象が発生しております。以下の対応を行っております 。何卒ご了承くださいますようお願い申し上げます。

　(1)製品購入ポイント

　後日システム復旧後の翌日に付与されます。反映までお時間をいただいておりますので、ご購入レシートを必ずお手元に保管いただきますようお願いいたします。

また、ポイント利用による購入はシステム復旧までご利用いただくことができません。近く期限が切れるポイントについては、スタッフまでお申し出ください。

　(2)MOST LOVE及びシーズナルキャンペーンポイント

　キャンペーンに該当するポイント付与を製品購入金額からディスカウントいたします。

▷アプリウェルカムクーポン発行の一時停止

　店舗にて公式アプリ会員登録後に購入されたお客様に翌日発行されるアプリウェルカムクーポン（10％オフクーポン）は、システムが復旧次第、アプリ内にクーポンが発行されます（発行された日から３０日間有効となります）。

本件に関するお問い合わせにつきましては、以下に記載いたしますお客様相談室までご連絡いただきますようお願い申し上げます。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-316】埼玉県 部活動体験参加申込者の個人情報の誤掲載について 2023年8月9日

県立川越南高等学校において、部活動体験の参加申込フォームで申込者の個人情報が他の申込者から閲覧できる状態になる事故が発生しました。

なお、現在のところ、第三者による不正使用等の事実は確認されていません。

1 事故の概要

県立川越南高等学校の職員が中学生向けの部活動体験の参加申込フォームを作成した際、Googleフォームの「結果の概要を表示する」機能を誤って有効に設定した。

令和5年6月15日（木曜日）、同申込フォームに参加者から申し込みが始まる。

8月8日（火曜日）、申し込みをした中学生の保護者から学校に指摘があり、管理職に報告され、事故が発覚した。

2 個人情報の内容

申込者67名分の生徒氏名、在籍中学校、生年月日、電話番号

3 学校の対応

8月8日（火曜日）  事故発覚後、参加申込フォームから個人情報を閲覧できないように設定した。

8月9日（水曜日）  申し込みをした生徒及び保護者に対し、事故について報告するとともに謝罪をした。

4 再発防止策

今後、校長会議等を通じて、改めて全県立学校において個人情報の適正な管理を徹底するよう指示する。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-315】泉北高速鉄道株式会社 【お詫び】当社子会社「泉鉄産業株式会社」業務用パソコンへの 不正アクセスの発生及び泉鉄産業従業員情報の漏えいの可能性につきまして ２０２３年８月１０日

当社の子会社「泉鉄産業株式会社」の業務用パソコンに対して、外部からの不正アクセスが発生し、同パソコンに保有する従業員（退職者を含む）の個人情報（※クレジットカード情報は含まない）が漏えいした可能性が判明しましたので、お知らせいたします。

詳細は、現在調査中でございますが、最大で２９８名の従業員の個人情報が漏えいした可能性がございます。

この度は、このような事態を招くこととなり、関係する皆さまに多大なるご迷惑とご不安をおかけしましたことを深くお詫び申し上げます。

同パソコンは、既に原因究明及び対策を決定するまでインターネットから切り離し、使用を停止する措置を行っています。なお、同パソコンは「泉鉄産業株式会社」として独自に用意したものであり、セブン-イレブン本部が用意した発注等の業務に関わるストアコンピューターではございません。

今後は、原因の究明に努めるとともに、再発防止策を徹底し、個人情報の厳重な管理を図ってまいります。

１．不正アクセスが判明した日時

２０２３年８月７日（月）１０時ごろ

２．不正アクセスが判明した経緯

泉鉄産業株式会社が運営するセブン-イレブン店舗の従業員が、業務用パソコンの画面についていつもと違うことに気づき、外部からの不正アクセスがあった疑いを持ち、調査した結果、「セブン-イレブン泉北高速和泉中央店」及び「セブン-イレブン泉北高速泉ケ丘店」（以下「セブン-イレブン２店舗」という。）の業務用パソコンに不正なプログラムがインストールされていることが判明しました。

３．漏えいした可能性のある件数

セブン-イレブン２店舗の従業員（退職者を含む）最大２９８名の個人情報が漏えいした可能性がございます。

４．漏えいした可能性のある個人情報

セブン-イレブン２店舗の従業員（退職者を含む）の以下の情報

「氏名」「生年月日」「年齢」「住所」「電話番号」「採用日」「勤務情報」「給与情報」

※ なお、当該店舗をご利用されたお客さまの個人情報やご利用情報につきましては、

 漏えいの可能性はありません。

※ 上記 2 店舗以外のセブン-イレブン店舗に関する情報漏洩はございません

５．今後の対応

８月１０日（木）、本事象について個人情報保護委員会（行政機関）に報告いたしました。

 現在、情報の漏洩が発生したかどうか及び不正なプログラムがインストールされた原因を確認しております。

６．再発防止策

原因の究明に努めるとともに、再発防止策を徹底し、個人情報の厳重な管理を図ってまいります。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-314】株式会社ビジョナリーホールディングス お客さまの個人情報漏洩並びに不正利用の可能性のお知らせとお詫びについて 2023 年 8 月 15 日

株式会社ビジョナリーホールディングス（本社：東京都中央区、代表取締役社長：松本大輔）は、当社グループが保有する顧客個人情報の第三者による不正取得と利用の可能性が生じていることを確認いたしました。お客さまをはじめご関係先の皆様にご迷惑とご心配をおかけしておりますことを、深くお詫び申し上げます。現在も調査を継続しており、今後新たな情報が判明する可能性がございますが、現時点（2023 年 8 月 15 日 16 時現在）で確認できた事実関係の概要は次の通りです。

1. 事象概要

2023 年 8 月 11 日に当社の社員 1 名宛に「永福眼鏡店」というメガネ小売店から DM が届きました。

この「永福眼鏡店」については、前代表取締役社長の星﨑尚彦氏による当社企業価値を毀損する行為の疑い等の調査のために発足した第三者委員会が作成した 2023 年 5 月 31 日付及び同年 7 月 27 日付けの調査報告書において、当社旧永福町店が合理性が疑われるプロセスにより閉鎖され、法律上無効である可能性がある契約に基づき、当社旧永福町店の事業を移転させるために、当社から当該店舗の運営会社に対して資産等の譲渡が行われたと指摘がされています。

このように「永福眼鏡店」には法律上必要な手続きを経ないまま、当社旧永福町店の資産等が譲渡されたものでありますが、DM が届いた該当社員は「永福眼鏡店」の近隣在住ながらも当該店舗を利用したことがなく、当該社員に「永福眼鏡店」から DM が届いたことにより、当社が保有していた個人情報が「永福眼鏡店」により不正に利用されたことが疑われることとなりました。

そこで、2023 年 8 月 12 日に、2022 年 8 月頃から法律上無効なプロセスにより「永福眼鏡店」の運営会社に貸与されていた当社 POS から情報漏洩した可能性を検証したところ、当社顧客として登録されていた該当社員の情報を 2023 年 2 月 4 日に該当 POS で検索した形跡が確認されました。

この操作は、2023 年 2 月に「永福眼鏡店」への不当な応援に従事をさせられていた当社社員が行なったことが確認できましたが、同年 8 月 12 日に本人に聞き取りを行なったところ、該当 POS の開局処理は本人の ID・パスワードを使用したものの、顧客検索は行なっていないことが判明しました。また、同年 8 月 13 日には、該当の POS に関して、不当に事業譲渡をされた 2022 年 8 月頃から 2023 年 3 月 28日まで「永福眼鏡店」の運営会社が当社顧客情報にアクセスできる環境となっていたこと、また旧永福町店と同じく法律上有効なプロセスを経ずに「星組経営会議メンバー」が代表を務める一社に事業譲渡された当社旧千歳船橋店でも同様に同期間に顧客検索がされていることも判明しました。

なお、該当期間にその POS で顧客検索により第三者が意図して取得し不正に利用できた可能性がある件数は 4,061 件あることが判明しておりますが、該当 POS では顧客情報をダウンロードや外部メディアに移すことができない仕様になっており、個人情報を POS から取得する際は、個人情報を検索し2た際に POS 画面に表示された登録情報をプリンターで一枚ずつ出力するか、一つ一つ手書きや写真などを撮影するしか方法がないため、漏洩した可能性は最大でも 4,061 件と考えられます。

また、この 4,061 件には、同期間に当社から不当な応援に従事をさせられていた当社社員 3 名が行った顧客検査も含まれておりますが、いずれの当社社員も大量の顧客検索をしたことはないことから、第三者による ID・パスワードの不正な取得、また開局した POS 利用による個人情報の不正取得の可能性が生じております。

更に、2023 年 8 月 13 日に、当社旧永福店、旧千歳船橋店の資産等が法律上必要な手続きを経ずに移転された際、本来当社で引き上げ、管理すべき顧客約 5,707 件分の視力測定結果が記入されたシートと151 件分の聴力測定結果が記入されたシートが紙の状態で、譲渡先である「永福眼鏡店」「ちとふな眼鏡店」にそのまま保管されている可能性があることが判明しました。この顧客視力測定結果並びに聴力測定結果にはお客さまの氏名、住所、電話番号などの個人情報とメガネや補聴器の作成に必要な視力、聴力などの測定データや作成いただいたメガネ、補聴器に関する情報等が記載されております。

現在 DM が届いた社員以外の個人情報の不正利用は判明しておらず、個人情報がどれだけ不正に取得され、利用されたかは調査中です。なお、警察への通報および個人情報保護委員会への報告は完了しており、不当に使用された可能性がある当社社員の ID・パスワードは全て変更済みです。

2022 年

8 月～11 月

• 前代表の星﨑氏の主導の下、当社旧永福町店、旧千歳船橋店が法律上有効な手続きを経ずに「星組経営会議メンバー」が代表者を務める一社に事業譲渡される

2023 年

2 月 4 日

• 今回 DM が届いた当社社員の顧客情報が検索される

• 上記含め 2022 年 8 月～2023 年 3 月 28 日までに旧永福町店と旧千歳船橋店の顧客情報 4,061 名分が検索される

8 月 11 日 

• 当社社員宛に「永福眼鏡店」から DM が到着

8 月 12 日 

• 該当社員の個人情報が不当に事業譲渡をされたプロセスで貸与されていた当社 POS で検索された形跡を確認

8 月 13 日 

• 2022 年 8 月～2023 年 3 月 28 日まで貸与 PC で顧客検索がされていたことが判明
• 顧客の視力測定結果が記入されたものが 5,707 件、聴力測定結果が記入されたものが 151 件、それぞれ紙の状態で「永福眼鏡店」「ちとふな眼鏡店」にそのまま保管されている可能性があることが判明

3. 漏洩した可能性がある個人情報の件数と内容

① 顧客情報

件数：最大 4,061 件

内容：・氏名 ・性別 ・生年月日 ・国籍 ・住所 ・電話番号（自宅、携帯）

・メールアドレス ・メガネ使用歴 ・購入した商品、サービスの全ての種類、金額、時期

・作成したレンズの度数・購入したコンタクトレンズのパラメータ

・購入がない来店履歴（調整・クリーニング等） ・DM 送付履歴

・有料延長保証、コンタクト定期便などサブスクリプションサービスの加入状況

・支払い方法（現金・カード・QR、バーコード決済等）

・家族の利用歴

※クレジットカード情報など決済に必要な情報は含まれておりません

②顧客視力測定結果

件数：最大 5,707 件

内容：・氏名 ・性別 ・生年月日 ・住所 ・電話番号（自宅、携帯）

・メールアドレス ・メガネ使用歴 ・購入した商品、サービスの全ての種類、金額、時期

・作成前のメガネや目の使用状況など

・作成したレンズに必要な視力測定データなど ・決定した度数

・有料延長保証、コンタクト定期便などサブスクリプションサービスの加入有無

※クレジットカード情報など決済に必要な情報は含まれておりません

③顧客聴力測定結果

件数：最大 151 件

内容：・氏名 ・性別 ・生年月日 ・住所 ・電話番号（自宅、携帯）

・メールアドレス ・補聴器使用歴 ・購入した商品の種類、金額、時期

・作成前の聞こえの状況など ・作成した補聴器に必要であった聴力測定データなど

・補聴器のフィッティング、調整履歴

※クレジットカード情報など決済に必要な情報は含まれておりません

4. お客さまへのお願い

• 当社旧永福町店、千歳船橋店を過去にご利用の方、あるいはその他当社店舗のご利用でも該当店舗周辺にお住まいの方で、メガネ、コンタクトレンズ、補聴器等の案内を行う心当たりのない不審なDM、電話、メールなどがありましたら、以下 6 に記載の電話番号までご一報いただけますようお願いを申し上げます

5. 今後の対応

• 個人情報の漏洩の可能性があるお客さまには本日から順次郵送でご連絡してまいります
• 調査の進捗があり次第、当社ホームページ並びにプレスリリースで公表してまいります
• 警察等と相談しながら不正取得の経緯と範囲を早急に把握しつつ、適切な対応と再発防止策を取って参ります

リリース文（アーカイブ）

【セキュリティ事件簿#2023-313】千葉県警、国交省のシステムへの不正アクセスで職員を書類送検：関東運輸局のパスワード管理の問題も浮上

千葉県警は、国土交通省の車両情報管理システムに他人のIDとパスワードを使用して不正にアクセスした疑いで、独立行政法人自動車技術総合機構の31歳の男性職員を書類送検しました。この男性は、昨年の期間中に4回、関東運輸局千葉運輸支局習志野自動車検査登録所事務所のパソコンを使用して、システムに不正アクセスしたとされています。

調査によれば、このシステムには車検の結果などが記録されており、男性は8台の車の情報を不正に取得し、オーナーの名前や住所を調査したという。彼は「街で見かける改造車や気になる車の情報を調べたかった」と供述しています。この不正行為は、同機構からの通報を受けた国交省の職員が警察に相談したことで明らかとなりました。

事件の背景には、関東運輸局のずさんなパスワード管理が浮上しています。男性は、事務所の職員が帰宅した後に机の上に残されていたIDとパスワードのメモを利用してシステムにアクセスしていたとのこと。このような管理の甘さが、不正アクセスを許してしまった原因とも言えます。関東運輸局は、この事件を受けて、習志野事務所の全職員のパスワードを変更し、今後は管理方法の見直しや再発防止策を強化するとの声明を出しています。

出典：国交省システムに不正アクセス「見かけた改造車や気になる車の情報を照会」　容疑で独立行政法人の職員を書類送検　千葉県警

【セキュリティ事件簿#2023-312】宝塚市 教育用ネットワークシステム内におけるアクセス権限の設定不備の発生について 2023年8月14日

1.概要

令和5（2023）年5月18日から7月26日までの間、本来、教職員だけがアクセス（検索・閲覧・ダウンロード）できるファイルのうち、一部のファイルにアクセス権限設定の不備があり、児童生徒も教育用タブレット端末からアクセスできる状態になっていたことが判明しました。

2.事案発覚の経緯と対応

7月26日に匿名のメールで情報提供があり、教育委員会がアクセス履歴を調査したところ、本年5月18日から7月26日までの間、一部の児童生徒が当該ファイルにアクセスしていたことが判明しました。

7月27日、教育委員会はファイルをダウンロードした児童生徒の端末を起動できないよう遠隔操作で制限を設けたうえ、現在は端末を回収し、代替機と交換しています。この回収した全ての端末を解析したところ、ダウンロードしたファイルを端末外に持ち出した形跡はなく、現時点において、アクセスされた個人情報等の不正利用などは確認されていません。

なお、当該ファイルへのアクセスは市立小中学校の児童生徒と教職員に限定されており、広く外部にファイルが流出したものではありません。

3．事案発生の原因

本年5月18日、宝塚市教育委員会の教育用ネットワークシステムにおける運用保守業務の受託業者が、過去3年間、一度も利用実績のないファイルを旧システム上（サーバ）から現在使用しているクラウドサービスのサイトへ移行する作業の過程において、児童生徒にもアクセスできる設定に変更されたことによるものです。

アクセス権限が変更された原因は調査中ですが、この移行作業において、使用したツールの挙動や仕様の確認およびテストを十分に行い、移行後のアクセス権限の確認を実施していれば防げた事案であると考えています。

4.アクセスされた個人情報を含むファイルの件数など

（1） アクセスされた個人情報を含むファイル数　122件

（2） 当該ファイルを閲覧した児童生徒数　7人

（3） 当該ファイルをダウンロードした生徒数　3人

5.アクセスされた個人情報の主な内容

（1） 一部の児童生徒の指導上の資料や名簿などの個人情報

（2） 一部の教職員の学歴などの個人情報

6.今後の対応

市立学校園に在籍する全児童生徒の保護者に対して本事案を通知するほか、関係する児童生徒、保護者、教職員に対して、改めて事案の説明とお詫びをします。

また、当該システムで管理している全ファイルのアクセス権限を再度確認します。

7．再発防止について

ファイル移行時には、受託業者だけではなく、本市の職員も含めて複数人で確認するなど、慎重に対応するよう周知、徹底を図ります。

また、ファイルを移行する場合の手順書を作成します。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-311】倉敷帆布 「倉敷帆布オンラインストア」への不正アクセスによる個人情報漏洩に関するお詫びとお知らせ 2023年8月17日

このたび、弊社が運営していた「倉敷帆布オンラインストア」（以下、「弊社ECサイト」といいます）におきまして、第三者による不正アクセスがあり、お客様のクレジットカード情報8,655件を含む個人情報40,869件が漏洩した可能性があることが判明いたしました。

お客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、心より深くお詫び申し上げます。

なお、クレジットカード情報および個人情報が漏洩した可能性のあるお客様には、本日より、電子メール等にてお詫びとお知らせを個別にご連絡申し上げております。現在の自社ECサイトは、他のサイトとは完全に分離したシステムで運営しているため、今回の不正アクセスの対象とはなっておりません。

弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。

お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する概要および本件につきましての今後のお問合せ窓口等につきまして、下記の通りご報告いたします。

1.経緯

2023年5月2日、一部のクレジットカード会社から、弊社ECサイトを利用したお客様のクレジットカード情報が漏洩しているかもしれないと懸念される旨、連絡を受けました。

弊社ECサイトは、上記連絡を受ける以前の2023年４月17日に、新システムへ移行しており、当該不正アクセスの対象となった旧システムとは完全に切り離されている状態でございました。

しかしながら弊社は、あらゆる危険性を考慮し安全の確認が取れるまで新システムによるECサイトも閉鎖することを決定し、2023年5月9日、自社ECサイトでのカード決済を停止し、サイト内の全てのデータの保全を実施いたしました。

上記措置と同時に、第三者調査機関による調査も開始いたしました。2023年6月30日、調査機関による調査が完了し、2021年3月24日～2023年4月17日の期間に弊社ECサイトで購入されたお客様のクレジットカード情報が漏洩した可能性、およびそのうち一部のお客様のクレジットカード情報が不正利用された可能性があることを確認いたしました。また、過去に弊社ECサイトにて個人情報をご入力いただいたお客様の個人情報も漏洩した可能性を確認いたしました。

以上の事実が確認できたため、本日の発表に至りました。

2.個人情報漏洩状況

(1)原因

弊社ECサイトのシステムの一部に脆弱性があり、これをついた第三者が不正にアクセスして、ペイメントアプリケーションの改ざんを行いました。

(2)クレジットカード情報漏洩の可能性があるお客様

2021年3月24日～2023年4月17日の期間中に弊社ECサイトにおいてクレジットカード決済をされたお客様8,655名について、漏洩した可能性のある情報は以下のとおりです。

・カード名義人名

・クレジットカード番号

・有効期限

・セキュリティコード

(3)個人情報漏洩の可能性があるお客様

サイトオープンから2023年4月17日までに当サイトをご利用くださったお客様40,869名について、漏洩した可能性のある情報は以下の通りです。

・名前

・フリガナ

・郵便番号、住所

・電話番号

・メールアドレス

・FAX番号 (任意入力項目)

・職業(任意入力項目)

・会社名 (任意入力項目)

・性別(任意入力項目)

・生年月日(任意入力項目)

・届け先情報(任意入力項目)

・購入履歴

上記期間(2)(3)に該当するお客様につきましては、電子メール等にて個別にご連絡申し上げます。

3.お客様へのお願い

既に弊社では、クレジットカード会社と連携し、漏洩した可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております。

お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合は、たいへんお手数ですが同クレジットカードの裏面に記載のクレジットカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。

なお、お客様がクレジットカードの差し替えをご希望される場合、カード再発行の手数料につきましてはお客様にご負担をお掛けいたしませんよう、弊社の費用負担で再発行に応じていただけるよう弊社より、クレジットカード会社に依頼しております。

4.公表が遅れた理由・経緯について

2023年5月2日の漏洩懸念の把握から今回の案内に至るまで、時間を要しましたことを深くお詫び申し上げます。

本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるべきとも考えられるところではございました。

しかし、クレジットカード会社との協議も踏まえ、不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が最善であると判断し、発表は調査会社の調査結果、およびクレジットカード会社との連携を待ってから行うことに致しました。

今回の発表までお時間をいただきましたことにつき、重ねてお詫び申し上げます。

5.再発防止策ならびに弊社が運営する自社ECサイトの再開について

弊社はこのたびの事態を厳粛に受け止め、新システムへ移行した今後も調査結果を踏まえてシステムのセキュリティ対策および監視体制の強化を行い、再発防止を図ってまいります。

自社ECサイトの再開日につきましては、決定次第、改めてWebサイト上にてお知らせいたします。

また、弊社は今回の不正アクセスにつきまして、監督官庁である個人情報保護委員会には2023年5月2日及び2023年7月10日に適用法令に従って報告済であり、2023年７月13日に警察署（倉敷市・児島警察署）に被害報告をしており、今後捜査にも全面的に協力してまいります。

リリース文（アーカイブ）

【搭乗記】日本航空JL3084 セントレア（NGO）⇒成田空港（NRT）

 

ホノルルから名古屋を経由して東京に帰る。

ホノルルから直接東京に帰ればいいのだが、今回の特典航空券の制約上、東京に戻ることができないため、特典航空券上はセントレアまでを発券し、セントレアから東京まではAviosを使って発券した。

普通に搭乗手続きを進めてしまい、手荷物検査場を通過した辺りで写真を撮っていないことに気が付く。

通過した後の手荷物検査場

セントレアは同一フロアに国内線出発ゲートと国際線出発ゲートがある。

いい意味でとてもコンパクト。しいて言うなら、羽田の第3ターミナルを半分国内線、半分国際線用にするとセントレアになるような感じ。

ただ、一般客がアクセスできるエリアはとても賑わっている一方、手荷物検査場の先はガラガラで、相変わらず飛行機は少ない印象の空港だった。

空港にサクララウンジは無く、共用ラウンジの利用となる。

中は狭く、ここにJALとANAの上級会員が集うため、稼働率は常に90%を超えている感じ。

時間になったので搭乗ゲートに移動。

成田-セントレア便は国際線機材が利用されることは結構有名な話。

個人的には成田からセントレアにフェリーして、セントレアから国際線を飛ばしているのかと思っていたのだが、どうも違った模様。

今回搭乗した機材のフライト履歴を見ると以下になっていて、成田からセントレアに来た便はそのまま成田に帰っている。

そして成田から国際線のフライトをしている。

ということは、成田は国際線がメインなので、そこから飛ばす国内線は余っている国際線機材をあてがっているという見方が正しいのかもしれない。

早速搭乗。例に漏れず国際線機材。

機材はB787でSKY SUITEでした。

一見同じような機内誌が2冊入っていて、よく見ると1冊が国内線用で、1冊が国際線用だった。（国際線用は右上に小さく「International Edition」とある。）

こういうのは国際線用機材で国内線に乗った時にしか出くわせないね。

ドリンクを貰ってぼーっとしていると成田着陸。

今回は飛行機が撮れるポイントが全くなかった。

セントレア行くときにも通った長い通路を歩いて出口へ向かう。

どうしても国際線機材のビジネスクラスに乗りたくなったら、成田発の国内線にすると乗れるかも。

そういう意味では成田発の国内線は穴場かもって思った。

【セキュリティ事件簿#2023-310】株式会社ヌーラボ インシデント報告：ログ監視システムへの不正アクセスによる情報漏洩 2023年8月3日

Typetalkへの不正なアクセスが確認され、情報漏洩が発生しました。詳細を以下に報告致します。

1. インシデントの概要

Typetalkのログ監視システムへ不正アクセスが発生し、ログデータの漏洩が発生しました。

2. 発生期間

2023年7月21日(金)10時34分(日本時間)から2023年8月1日(火)11時30分(日本時間)まで

3. 事象

ログ監視システムに保管していた2023年7月3日(月)から2023年7月24日(月)におけるアクセスログ及びアプリケーションログへの不正アクセスを確認しました。現在、以下の情報が漏洩した可能性があります。

• メールアドレス
• Typetalk Bot に使われる TypetalkToken
• OAuth 2.0 アプリに使われる Client Credential

アクセスログ及びアプリケーションログには投稿しているメッセージ内容やパスワード情報といった機密情報は含まれておりません。

なお、漏えいした可能性のある情報を不正に利用することによって発生する副次的な影響範囲についても、分かり次第公開いたします。

4. 現在の状況と対策

現在、この不正アクセスの範囲と影響を確定するために調査を進めています。影響範囲が分かり次第、関係者に報告します。また、このような事態を防ぐために必要な対策を講じます。

私たちは、この事態が引き起こす可能性のある影響を深く理解しており、問題の解決に向けて全力を尽くします。引き続き情報が更新されましたら、すみやかに共有致します。この度は、サービスご利用の皆様にご心配をおかけしておりますことを心よりお詫び申し上げます。

5. 調査報告と対策：

今回のインシデントが発生した原因は、ヌーラボ社内のネットワークからのみアクセス可能なログ監視システムのファイアウォールの設定変更を行った際に、設定した内容に不備があり、ログ監視システムが社外のネットワークからアクセス可能な状態になってしまったことでした。

その対策として、2023年8月1日(火)11時30分(日本時間)にファイアウォールの設定を再度変更し、上記の社外ネットワークからのアクセスを遮断し、不正なアクセスができないように設定しました。

対象のログ監視システムは、Typetalkのログのみを保管しているため、影響範囲はTypetalkのみです。BacklogやCacooには影響がございません。また、Typetalkと同じヌーラボアカウントでBacklogやCacooを利用している場合でも影響はございません。

追記

2023年8月3日 13:57

ユーザーのデータ保護の観点から二次被害を防ぐために、以下の情報を強制的に書き換えさせていただきました。

• メッセージ読み込み権限(read)を指定しているTypetalkボットのトークン
• Typetalk ClientアプリのClient Secret

これによりトピックを読み込んで動作するボット、アプリが動作しなくなっている可能性があります。その場合は大変お手数ですが、変更された新しいトークンまたはClient Secretを連携しているプログラムに適用してください。

今回のインシデントにより影響のあるお客様には個別にメールにてご案内を致します。この度は、サービスご利用の皆様にご心配をおかけしておりますことを心よりお詫び申し上げます。

2023年8月4日 15:03

ユーザーのデータ保護の観点から二次被害を防ぐために、以下の情報を強制的に書き換える予定です。

• ボットのトークン
• 開発者作成アプリのトークン

対象範囲

• 2023年7月3日(月)(日本時間)から2023年7月24日(月)(日本時間)の間にAPIリクエストを行ったユーザー
• クエリパラメーターに typetalkToken または client_id かつ client_secret を含めていたユーザー
• スコープに read 権限がついているボットおよび開発者アプリ

実行予定日時

• 2023/08/04 18:00 (日本時間)

これによりトピックに対してメッセージ投稿をするボット、アプリが動作しなくなっている可能性があります。その場合は大変お手数ですが、変更された新しいトークンまたはClient Secretを連携しているプログラムに適用してください。

トークンのリセットを実行する前に、ボットまたは開発者アプリの設定ページにて、ご自身でトークンを再発行していただき、修正作業を先に行っていただいても問題ございません。

影響のあるお客様には個別にメールにてご案内を致します。この度は、サービスご利用の皆様にご心配をおかけしておりますことを心よりお詫び申し上げます。

2023年8月4日 19:27

本件について影響があり、個別にメールでご案内させていただいたボットのトークン、および開発者作成アプリのトークンについて、以下の時間に強制的に書き換えさせていただきました。

2023年8月4日 18:00（日本時間）

この度の事態により、私たちのサービスをご利用いただく皆様にご心配をおかけしたことを深くお詫び申し上げます。

2023年8月10日 15:47

本件について影響のあった期間のログを点検したところ、不正アクセスやボット、アプリの第三者による不正利用の形跡がないことを確認しました。

• 影響を受けたトークンから二次被害の報告はありません。
• 影響を受けたトークンのアクセスログからIPアドレスを取得し、ロケーション情報を限定して確認をしたところ、恒常的なアクセスであると判断しました。
• 影響の受けたトークンをアクセスログから調査し、不審なアクセスがないことを確認しました。

あらためて私たちのサービスをご利用いただく皆様にご心配をおかけしたことを深くお詫び申し上げます。

2023年8月16日 17:30

本件について社内で詳細調査をし、発生原因とその対策、影響範囲を「5. 調査報告と対策」に情報を追記しました。

あらためて私たちのサービスをご利用いただく皆様にご心配をおかけしたことを深くお詫び申し上げます。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-309】株式会社GMW 弊社サービスにおける重要なセキュリティ情報とお詫び 2023年8月15日

弊社サービスをご利用いただいている皆様に、大変重要なお知らせとお詫びの言葉を申し上げます。

先日、当サービスのデータベースに不正アクセスが行われ、データベースの情報が第三者によって流出した可能性が判明いたしました。

・pictBLand：ログインメールアドレス・ログインパスワード

・pictSQUARE：ログインメールアドレス、ログインパスワード、振込先口座情報、配送先住所情報

（弊社サーバーにはクレジットカード情報は含まれておりません）

この件に関して、皆様に多大なる不安とご迷惑をおかけしておりますこと、心より深くお詫び申し上げます。

現在、以下のサイトにてサーバーのダウンを行っております。

・pictBLand（pictMalFem、pictGLand）

・pictSQUARE

また、pictSQUAREにおいては振込先口座情報、配送先住所情報について弊社のほうで削除いたしました。

復旧時期については追ってご連絡いたします。お待たせして申し訳ありません。

現在、当社ではさらなる問題の原因の究明および再発防止策を最優先で進めております。さらに、警察など公的機関とも連携し、事態の早期収束に向けて全力で取り組んでおります。

保護すべきユーザーの皆様の情報を守ることが、我々の最重要の責務であることを痛感しております。このような事態を招いたことは、言い訳のしようがございません。

対応策として、皆様には下記のアクションをお願いさせていただければと思います。

・他サービスで、当サービスと同じパスワードを使用されている場合、他サービスでのパスワード変更をお願い致します。

・万が一、よくわからないメールが来た場合、メール内に記載されているリンクはクリックしないようお願い致します。

今後、具体的な再発防止策や詳細な調査結果が判明次第、追ってご報告させていただきます。

また、本件専用の相談窓口を設ける予定です。（この期間に生じたpictSQUAREサークル参加料金について全額補填させていただきます）

皆様の安全と信頼を第一に、今後のサービス運営に努めてまいりますので、何卒ご理解とご協力のほど宜しくお願い申し上げます。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-308】平和政策研究所 不正アクセスによる迷惑メール送信に関するお詫びとご報告 2023年8月8日

このたび、当研究所が管理するサーバに対し外部からの不正アクセスが行われ、当研究所のメールアカウントを経由して迷惑メール（SPAMメール）が送信される事案が発生いたしました。多大なるご迷惑、ご心配をおかけしましたことを深くお詫び申し上げます。

現時点で判明している状況につきまして、ご報告いたします。

１．不正アクセスの経緯

当研究所が管理するサーバに対し外部からの不正アクセスが行われ、当研究所が利用していた当該サーバ内のメール配信プログラムから2023年8月1日（火）23時頃と8月2日（水）11時頃の2回にわたり、迷惑メール（SPAMメール）が配信されるという事案が発生いたしました。迷惑メールの本文には、同プログラムにより自動的に受信者のお名前が挿入されておりました。配信対象となったのは、「IPPニュースレター」（現在は配信停止中）をお送りしておりました皆さまであることを確認しております。

２．引き出された可能性のある情報

・件数：1092件

・情報：お名前、メールアドレス

なお、当該サーバにはご所属、ご住所、お電話番号などの情報を保存しておりません。

３．問題への対応と対策

・当該サーバの運用を停止するとともに、新たなサーバへの移行を行いました。

・当該サーバ内に保存されていた個人情報はすべて削除いたしました。

・管轄の警察署に被害の届け出を行い、捜査に協力しております。

・本事案について個人情報保護委員会に報告いたしました。

・情報管理の再検証と情報管理体制の強化を行ってまいります。

・脆弱性診断によるログ監視の強化を行います。

・職員に対し厳格な管理についての周知徹底を行い、再発防止に努めてまいります。

この度は、皆様に多大なるご迷惑、ご心配をおかけしましたことを重ねて深くお詫び申し上げます。当研究所は今回の事態を重く受け止め、二度とこのような事態を起こさぬよう、再発防止に努めてまいります。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-307】神奈川県 個人情報漏えいについて 2023年08月03日

「令和5年度　第3回　神奈川県移住セミナー」の事前申込の受付において、申し込みされた5名の方の個人情報が申込フォーム上で閲覧できる状態になっていたことが判明しました。

1 概要

(1) 発生の状況

本県は、「令和5年度　第3回　神奈川県移住セミナー」の申込に当たり、Googleフォームを利用していましたが、申込フォームの設定において誤ったアカウントを共同編集者として登録してしまったことから、当該アカウントのユーザーにおいて、最初の申込のあった令和5年7月19日（水曜日）20時21分以降、8月3日（水曜日）11時頃までの間、申込者5名の登録情報を閲覧できる状態となっていました。

（注記）Googleフォームとは

Google LLCが提供している、オンラインによる申込やアンケートに活用できるサービス

(2) 判明した経緯

8月3日（木曜日）11時頃に、共同編集者として本来登録すべきアカウントのユーザーから、Googleフォームにアクセスできない旨の連絡があり、アカウントの設定が誤っていることが判明しました。

2 流出した個人情報

5名分の個人情報（氏名、住所、電話番号、メールアドレス、職業、年代）

3 原因

Googleフォームの共同編集者のアカウント設定における人為的作業ミスによるものです。

4 対応

8月3日（木曜日）11時頃に、共同編集者のアカウントを修正しました。

県から申込のあった5名及び誤って共同編集者に設定したアカウントのユーザーに対して謝罪しました。

5 再発防止策

今後の神奈川県移住セミナーの申込においては、共同編集者設定時の確認を徹底するとともに、共同編集者の設定の必要性について再検討を行うなど、個人情報の厳格な管理を行います。

リリース文（アーカイブ）